Shorewall не работает (Перестали работать правила, shorewall / rules)

[mirus173]

Добрый день, Перестали работать правила(в частности банк-клиент перестал коннектиться и не могу подключиться удаленно к домену через vpn-rdp ), shorewall / rules , после того как пытался установить sun-java-jre и openfire. Вопрос связано ли это или копать в другую сторону. Debian достался в наследство. Спс.

[Hephaestus]

Ох... Shorewall - это такая штука... которая мешала мне освоить работу с файрволом.
Весьма запутанная, на мой взгляд.

Давайте попробуем взглянуть на правила на более низком уровне.
Выполните для начала от рута iptables -L, а может даже лучше iptables-save и покажите выхлоп.

[mirus173]

Ох... Shorewall - это такая штука... которая мешала мне освоить работу с файрволом.
Весьма запутанная, на мой взгляд.

Давайте попробуем взглянуть на правила на более низком уровне.
Выполните для начала от рута iptables -L, а может даже лучше iptables-save и покажите выхлоп.

iptables-save
Что скажете ?

[Hephaestus]

Что скажете ?

Скажу, что там не видно ни одного правила, а все умолчальные политики разрешающие. То есть пропускать, судя по всему, должен всех и везде.
Насколько я помню, shorewall был "прослойкой" и генерировал правила для iptables.
Либо я ошибался и shorewall не генерировал правила для iptables, а действовал как-то иначе, либо в Вашем случае все правила слетели нафиг.

[mirus173]

Что скажете ?

Скажу, что там не видно ни одного правила, а все умолчальные политики разрешающие. То есть пропускать, судя по всему, должен всех и везде.
Насколько я помню, shorewall был "прослойкой" и генерировал правила для iptables.
Либо я ошибался и shorewall не генерировал правила для iptables, а действовал как-то иначе, либо в Вашем случае все правила слетели нафиг.

Хм, тогда получается не в shorewall дело, потому что интернет норм работает по правилам.

[Bizdelnick]

Насколько я помню, shorewall был "прослойкой" и генерировал правила для iptables.

Именно так.

[Hephaestus]

Хм, тогда получается не в shorewall дело, потому что интернет норм работает по правилам.

А Вы точно знаете, что он работает "по правилам"?
Понимаете, какая вещь. В общем случае правило фильтрации либо пропускает пакет, либо не пропускает.
Если ни под одно правило пакет не попал, обрабатывается в соответствии с умолчальной политикой.
В Вашем случае нет запрещающей политики, которая бы отфильтровывала пакеты и нет запрещающих правил.
Поэтому пропускать будет всё.
Либо это действительно фильтруется не на уровне ядра, а где-то повыше, либо не фильтруется вообще.
Отсюда вопрос: Как Вы определили, что всё работает "по правилам"? Какие именно правила срабатывают?

[mirus173]

Хм, тогда получается не в shorewall дело, потому что интернет норм работает по правилам.

А Вы точно знаете, что он работает "по правилам"?
Понимаете, какая вещь. В общем случае правило фильтрации либо пропускает пакет, либо не пропускает.
Если ни под одно правило пакет не попал, обрабатывается в соответствии с умолчальной политикой.
В Вашем случае нет запрещающей политики, которая бы отфильтровывала пакеты и нет запрещающих правил.
Поэтому пропускать будет всё.
Либо это действительно фильтруется не на уровне ядра, а где-то повыше, либо не фильтруется вообще.
Отсюда вопрос: Как Вы определили, что всё работает "по правилам"? Какие именно правила срабатывают?

Я предположил что не работают правила, потому что в shorewall/rules попадают как раз те которые сейчас не работают т.е. банк-клиент и vpn, отсюда и такая догадка, может конечно сомневаюсь. Да, еще, через Debian как-то еще был связан wi-fi роутер, к нему сейчас можно подключиться. но он инет не дает.

[Hephaestus]

Я предположил что не работают правила, потому что в shorewall/rules попадают как раз те которые сейчас не работают т.е. банк-клиент и vpn

Итак, банк-клиент и vpn перестали соединяться, при этом всё остальное работает нормально, отсюда Вы делаете вывод, что shorewall каким-то манером фильтрует именно банк-клиент и vpn, то есть правила shorewall работают не так, как надо. Я правильно Вас понял?

В таком случае покажите нам правила shorewall.
Потому что на уровне iptables я лично никаких правил не увидел.

Кстати, можете ещё попробовать отключить этот самый sharewall и посмотреть как всё работает "без правил".

[Bizdelnick]

покажите нам правила shorewall.

Ещё просьба: копируйте, пожалуйста, текст в виде текста, не надо скриншотов.

[mirus173]

# Shorewall version 4 - Rules File
#
# For information on the settings in this file, type "man shorewall-rules"
#
# The manpage is also online at
# http://www.shorewall.net/manpages/shorewall-rules.html
#
####################################################################################################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK CONNLIMIT TIME
# PORT PORT(S) DEST LIMIT GROUP
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
DNS/ACCEPT $FW net
DNS/ACCEPT loc $FW
DNS/ACCEPT $FW loc
DNS/ACCEPT net:92.61.16.1 $FW
SSH/ACCEPT loc $FW
SSH/ACCEPT net $FW
Ping/ACCEPT loc $FW
#Незачем выставлять нешифрованный локальный почтовый сервис наружу, только через STARTTLS
SMTP/ACCEPT net $FW

# For PPP connections
Ping/ACCEPT vpn $FW
ACCEPT vpn loc
#Запрет пинга из внешней сети
Ping/ACCEPT net $FW

# Разрешаем SSH на внутреннюю сеть для миграции сервера
ACCEPT $FW loc tcp 22

# Временно разрешим заход с внешки на веб-морду Касперского
ACCEPT net $FW tcp 3080


ACCEPT net $FW gre
ACCEPT $FW loc:192.168.100.4 tcp 389
ACCEPT $FW loc:192.168.100.4 udp 389
#Разрешаем доступ шлюзу по протоколам icmp, tcp, udp
ACCEPT $FW loc icmp
ACCEPT $FW net icmp
ACCEPT $FW net tcp
ACCEPT $FW net udp
ACCEPT $FW net tcp 22,20,21
ACCEPT net $FW tcp 1723,47

#разрешить внутренний vpn для wifi
ACCEPT loc $FW tcp 1723,47
ACCEPT vpn net all

#Разрешим smtp, http, pop3, imap, ntp, web Каспера из сети на шлюз
#For Samba services accept 139 445 TCP and 137 138 UDP
ACCEPT loc $FW tcp 25,80,110,143,137,138,139,444,445,901,3080,8008
ACCEPT loc $FW udp 123,53,137,138,25,110
ACCEPT vpn $FW tcp 25,110

#Разрешим SSL почту pop и smtp из локальной сети
ACCEPT loc $FW tcp 465,995
#Разрешим доступ к proxy и webmin из локальной сети
ACCEPT loc $FW tcp 3128,10000
#Перенаправляем 1100 порт для банк клиента
DNAT loc net:217.14.195.113 tcp 1100 - 192.168.100.1
ACCEPT loc:192.168.100.57 net

#Клиент банк Ижкомбанк
ACCEPT loc:192.168.100.72 net all


#Контурн-Экстерн
ACCEPT loc:192.168.100.3 net:81.176.70.122 tcp
ACCEPT loc:192.168.100.126 net:81.176.70.122 tcp
ACCEPT loc:192.168.100.3 net:87.249.230.102 tcp
ACCEPT loc:192.168.100.126 net:87.249.230.102 tcp
ACCEPT loc:192.168.100.3 net:95.131.31.29 tcp
ACCEPT loc:192.168.100.126 net:95.131.31.29 tcp
ACCEPT loc:192.168.100.0/24 net:193.164.146.13 tcp
ACCEPT loc:192.168.100.0/24 net:193.164.146.18 tcp


ACCEPT loc:192.168.100.0/24 net:87.249.230.101 tcp 2225,2226
ACCEPT loc:192.168.100.0/24 net:87.249.230.101 udp 2225,2226
ACCEPT net:87.248.230.101 loc:192.168.100.0/24 tcp 2225,2226
ACCEPT net:87.249.230.101 loc:192.168.100.0/24 udp 2225,2226

#IP телефония
ACCEPT loc:192.168.100.0/24 net:87.249.226.82/32 all
ACCEPT loc:192.168.100.0/24 net:199.192.206.228/32 all

[Bizdelnick]

Раз у Вас в конфиге все правила ACCEPT, то при текущих настройках iptables всё должно работать. Причина, вероятно, в чём-то другом.
Хотя и shorewall починить всё равно не помешает. Что он говорит при попытке ручного запуска (service shorewall start, по идее)?

[mirus173]

Раз у Вас в конфиге все правила ACCEPT, то при текущих настройках iptables всё должно работать. Причина, вероятно, в чём-то другом.
Хотя и shorewall починить всё равно не помешает. Что он говорит при попытке ручного запуска (service shorewall start, по идее)?

Прикол в том что при ручном запуске (shorewall start) всё заработало ))), а при service shorewall start пишет -bash: service: команда не найдена. Всем спс!

Раз у Вас в конфиге все правила ACCEPT, то при текущих настройках iptables всё должно работать. Причина, вероятно, в чём-то другом.
Хотя и shorewall починить всё равно не помешает. Что он говорит при попытке ручного запуска (service shorewall start, по идее)?

Прикол в том что при ручном запуске (shorewall start) всё заработало ))), а при service shorewall start пишет -bash: service: команда не найдена. Всем спс!

Теперь вопрос в другом . почему он перестал работать и не запустился после reboot?

[Bizdelnick]

при service shorewall start пишет -bash: service: команда не найдена

От root делали?

почему он перестал работать и не запустился после reboot?

Покажите, что скажет ls -l /etc/rc?.d/*shorewall (это можно и не от root).

[mirus173]

при service shorewall start пишет -bash: service: команда не найдена

От root делали?

почему он перестал работать и не запустился после reboot?

Покажите, что скажет ls -l /etc/rc?.d/*shorewall (это можно и не от root).

1. Делал от root
2. localhost:~# ls /etc/rc?.d/*shorewall
/etc/rc0.d/K89shorewall /etc/rc3.d/S99shorewall /etc/rc6.d/K89shorewall
/etc/rc2.d/S99shorewall /etc/rc5.d/S99shorewall /etc/rcS.d/S40shorewall

[Bizdelnick]

/etc/rc2.d/S99shorewall

По идее должен стартовать, странно. Проверьте, куда ведёт ссылка (должна на /etc/init.d/shorewall), существует ли файл и является ли исполняемым.

[mirus173]

/etc/rc2.d/S99shorewall

По идее должен стартовать, странно. Проверьте, куда ведёт ссылка (должна на /etc/init.d/shorewall), существует ли файл и является ли исполняемым.

А как проверить куда ведет ссылка?

/etc/rc2.d/S99shorewall

По идее должен стартовать, странно. Проверьте, куда ведёт ссылка (должна на /etc/init.d/shorewall), существует ли файл и является ли исполняемым.

А как проверить куда ведет ссылка?

Ступил. Да, верно , ведет ссылка на /etc/init.d/shorewall

[Bizdelnick]

Теперь смотрите ls -l /etc/init.d/shorewall (ну или stat /etc/init.d/shorewall, по вкусу).

[mirus173]

Теперь смотрите ls -l /etc/init.d/shorewall (ну или stat /etc/init.d/shorewall, по вкусу).

localhost:~# stat /etc/init.d/shorewall
File: `/etc/init.d/shorewall'
Size: 2808 Blocks: 8 IO Block: 4096 обычный файл
Device: 801h/2049d Inode: 4138859 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2015-04-20 09:23:26.000000000 +0400
Modify: 2009-10-15 10:28:32.000000000 +0400
Change: 2012-10-11 04:22:12.000000000 +0400

[Bizdelnick]

Файл на месте и исполняемый, значит по идее всё должно работать. Если запустить /etc/init.d/shorewall start руками (от root), что скажет?

[mirus173]

Файл на месте и исполняемый, значит по идее всё должно работать. Если запустить /etc/init.d/shorewall start руками (от root), что скажет?

localhost:~# /etc/init.d/shorewall start
Starting "Shorewall firewall": done.

[Bizdelnick]

Значит, по идее, и при перезагрузке должен стартовать.

[mirus173]

Значит, по идее, и при перезагрузке должен стартовать.

Ок, после рабочего дня проверим))) Спасибо большое!

[mirus173]

Значит, по идее, и при перезагрузке должен стартовать.

Ок, после рабочего дня проверим))) Спасибо большое!

Сейчас ребутнул. опять ничего не работает , а при shorewall start пишет Shorewall is already running. А в прошлый раз, при shorewall start он показывал что стартует и всё заработало.

[Hephaestus]

Сейчас ребутнул. опять ничего не работает , а при shorewall start пишет Shorewall is already running

Я бы на Вашем месте вообще его выкинул.
Вы на него впустую тратите время. За это время можно iptables освоить и написать нормальные правила. И в дальнейшем обходиться без всяких "прослоек".

[mirus173]

Значит, по идее, и при перезагрузке должен стартовать.

Ок, после рабочего дня проверим))) Спасибо большое!

Сейчас ребутнул. опять ничего не работает , а при shorewall start пишет Shorewall is already running. А в прошлый раз, при shorewall start он показывал что стартует и всё заработало.

)))))) выполнил shorewall restart. всё снова заработало))

Сейчас ребутнул. опять ничего не работает , а при shorewall start пишет Shorewall is already running

Я бы на Вашем месте вообще его выкинул.
Вы на него впустую тратите время. За это время можно iptables освоить и написать нормальные правила. И в дальнейшем обходиться без всяких "прослоек".

Ок, спс. Будем изучать iptables.